IPB

Bienvenue invité ( Connexion | Inscription )

2 Pages V  < 1 2  
Reply to this topicStart new topic
> La messagerie instantanée mise en place par notre gouvernement est faillible, Réactions à la publication du 23/04/2019
Options
Xuros
posté 24 Apr 2019, 02:26
Message #31


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 349
Inscrit : 7 Nov 2004
Lieu : Los Angeles, CA
Membre no 26 518



Citation (iAPX @ 23 Apr 2019, 12:16) *
Citation (Nathan @ 23 Apr 2019, 15:29) *
...
je voudrai savoir qui s'engage pour certifier que c'est sécurisé ce "WhatsApp" French Touch

c'est beau de rêver ...

Totalement et c'est une perte de souveraineté incroyable de penser que la France n'est plus du tout dans la course, si on pense à sa position il y a 3 ou 4 décennies, et ce n'est pas faute de personnes de qualité, mais uniquement d'une démission de l'état.

Ça fait mal au cœur à voir!



--------------------
MacBook Pro M1 / iPhone
Go to the top of the page
 
+Quote Post
Tom25
posté 24 Apr 2019, 07:55
Message #32


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 306
Inscrit : 27 Jul 2008
Lieu : Besançon
Membre no 118 630



Citation (g4hd @ 23 Apr 2019, 13:10) *
J'apprécie le titre de la news : on sent bien que @Lionel a fait super gaffe à ne pas écrire une phrase qui justifierait que des tontons macoutes débarquent chez lui à 6 heures du mat'.

Oui, d'ailleurs quelqu'un a vu ou entendu Lionel depuis hier ?
biggrin.gif


--------------------
Go to the top of the page
 
+Quote Post
brenda
posté 24 Apr 2019, 08:07
Message #33


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 485
Inscrit : 24 Jul 2003
Lieu : Ancien du Ch'Nord, nouveau en Breizh (22)
Membre no 8 750



Citation (Patounet1 @ 23 Apr 2019, 09:30) *
Bonjour,
J’aimerais bien comprendre comment est-il possible, que, seulement quelques heures après son lancement, on puisse mettre en évidence une faille ?

J’espère que les sociétés qui ont développé Tchap, ne verront pas la couleur de l’argent des contribuables, le nôtre mad.gif , Ça me rappelle le logiciel de paye des armées, qui n’a jamais fonctionné, j’espère (mais je ne le crois pas) que les sociétés qui l’ont fourni ont dû rembourser. (À moins que ce soit du copinage)

j'ai appris hier que le retard de quasi 3 ans des versements des primes aux agriculteurs bio est dû à un non fonctionnement du logiciel de gestion de ces aides ...



--------------------
Si tu te tapes la tête contre un vase et que ça sonne creux, n’en déduis pas pour autant que le vase est vide.
Sagesse asiatique
Go to the top of the page
 
+Quote Post
chianti's yogurt
posté 24 Apr 2019, 09:59
Message #34


Adepte de Macbidouille
*

Groupe : Membres
Messages : 225
Inscrit : 13 Dec 2004
Membre no 28 782



Le responsable, c'est Gilles avec sa méthode pour abrutis rolleyes.gif rolleyes.gif rolleyes.gif


--------------------
Nul besoin d'une méthode pour être agile, quand on est pragmatique !
Go to the top of the page
 
+Quote Post
Patounet1
posté 24 Apr 2019, 10:13
Message #35


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 700
Inscrit : 16 Feb 2006
Lieu : Ariège 09300
Membre no 55 743



Citation (ericbaud @ 23 Apr 2019, 17:13) *
c'est également une manière détournée de fournir une application de messagerie Française 'Maison' Permettant de surveiller ses concitoyens plus facilement... Aucune confiance en ce gouvernement et les précédents, donc je suis pas prêt de l'utiliser..

Citation (linus @ 23 Apr 2019, 19:14) *
Citation (Patounet1 @ 23 Apr 2019, 17:10) *
Encore qu’elle est en open source, donc il sera difficile d’y mettre des « portes dérobées ».

Est ce que je me trompe si je dis que, il n'y a pas si longtemps, il a été découvert des portes dérobées dans le code Open Source de serveurs critiques ?
Le Open Source ne protège pas tellement car je doute que beaucoup de gens aient le temps et la compétence pour plonger dans les milliards de lignes des bibliothèques utilisées par tous.


Qu'on trouve des bugs, ça ne me choque pas trop, ce qui me coque c'est qu'on les trouve quelques heures après le lancement. Maintenant si c'est une version bêta, ça ne justifie pas la rapidité de la découverte, mais dans ce cas, oui la Bêta est faite pour ça.
L'open source empêchera aux autorités d'introduire des portes dérobées, le risque qu'on les découvre est trop important, et inéluctable. Mais il leur suffira d'en faire un logiciel fermé.

Citation
@Ericbaud Aucune confiance en ce gouvernement et les précédents, donc je suis pas prêt de l'utiliser..

Oui depuis que les tribunaux ont confirmé, (après Tchernobyl) le droit pour les autorités de mentir, dans l'intérêt général, on ne peut plus faire leur confiance.

Autre question : Je croyais que le logiciel serait ouvert à tous les citoyens, fonctionnaires ou non. Mais encore un privilège pour les fonctionnaires !
Je suppose qu'on pourra en faire un fork (un logiciel créé à partir du code source d'un autre) qui sera ouvert à tous, et indépendant de nos dirigeants.


--------------------
G4 MDD 1,25ghz- Ram 1,5Go Mac OSX 10.5.8. carte PCI ->5 ports USB2
MacBook Pro Retina fin 2013, 13", 8Go-256Go SSD. OS X 11.2.En arrêt cardiaque avec la Mise à jour Bigsur, ressuscité après une opération à cœur ouvert et beaucoup de chance.
HP, EliteBook, reconditionné acquis en dépannage.
iPhone SE 2020
ADSL 2,4 Mbps, Modem 4G 50 Mbps, La fibre depuis Mars 2022, 490 Mbit/s.
Go to the top of the page
 
+Quote Post
marc_os
posté 24 Apr 2019, 10:42
Message #36


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 484
Inscrit : 21 Apr 2006
Membre no 59 799



Citation (Hebus @ 23 Apr 2019, 11:05) *
Citation (johnstone @ 23 Apr 2019, 09:41) *
Citation (Patounet1 @ 23 Apr 2019, 09:30) *
J’espère que les sociétés qui ont développé Tchap, ne verront pas la couleur de l’argent des contribuables, le nôtre mad.gif , Ça me rappelle le logiciel de paye des armées, qui n’a jamais fonctionné, j’espère (mais je ne le crois pas) que les sociétés qui l’ont fourni ont dû rembourser. (À moins que ce soit du copinage)

Ces sociétés ne sont que la maîtrise d'oeuvre, elles font ce que la maîtrise d'ouvrage (dans ce cas, l'état) leur dit de faire. L'aversion au changement et à la simplification administrative a coulé le projet. Faut-il blâmer les sociétés tierces pour cela?

C’est faire peu cas du comportement des sociétés de service sur les projets, ils ont leur part de responsabilité, on les embauches pour leurs compétences.

« ils ont leur part de responsabilité », ah ça oui !
Par contre, qu'il soient « embauchés pour leurs compétences » (uniquement), permettez moi d'avoir quelques doutes.
J'ai passé près de vingt ans en SSII, et des appels d'offres bidonnés, j'en ai vus tellement que j'ai l'impression que c'est la généralité. Quand dans les médias on dit que tel grand patron gagne des mille et des cent en passant du public au privé et retour parce qu'il a un « carnet d'adresses » bien fourni, c'est la version politiquement correcte pour dire qu'il fait marcher à fond le copinage.

Citation (human @ 23 Apr 2019, 12:52) *
Je suis sur que ça à été la même pour les concessions des autoroutes ... etc ...

Rien à voir.
Sauf le copinage entre "gens de la haute".
L'Etat investit, une fois que c'est amorti, au lieu de récolter les gains qui feraient de belles rentrées our l'Etat, on vend pour pas trop cher aux copains qui vont maximiser leurs bénéfices au détriment des usagers et bien sûr de l'Etat qui globalement var perdre de l'argent.
Idem pour les aéroports de Paris.

Citation (iAPX @ 23 Apr 2019, 18:04) *
La première mission d'un gouvernement est de protéger ses citoyens et c'est d'ailleurs sa seule raison d'exister.

Donc, l'école publique et la majorité des services publiques ne devraient pas exister selon toi ?
Génial. Vive les USA où jusqu'à l'Obama care ma cousine a vécu 20 ans sans sécurité sociale et qui à 60 ans passés est obligée de travailler 6 jours sur 7, et dont le fils n'a eu comme seule solution pour faire des études que de s'engager à l'armée car les frais sont simplement faramineux pour la majorité de la population.
C'est une vision des choses que je ne partage absolument pas, où seuls les "riches" ont le droit de vivre correctement.

Citation (mR_Zlu @ 23 Apr 2019, 19:14) *
Citation (Patounet1 @ 23 Apr 2019, 17:10) *
Je suis simplement étonné que quand on demande une messagerie, chiffrée de bout en bout, que l’on puisse utiliser en toute sécurité, seulement quelques heures après son lancement on se rend compte qu’il y a une faille !

C'est pour cela qu'on lance d'abord une beta

Oui et non.
Les "beta", c'est d'abord en interne.
Et c'est le service qualité (QA) qui normalement a le dernier mot, "go / no go".
Faire des betas supplémentaires publiques, c'est utile voire nécessaire quand la cible c'est... le public. Car alors il est quasi impossible d'avoir absolument toutes les configurations en interne, en termes de matériel, os, et logiciels tiers installés qui peuvent interragir de façon inatendue avec ceux qu'on développe soi même. Ceci dit, rien n'interdit de faire des diffustions beta "publiques internes" quand l'application est utilisée par un nombre restreint et bien défini d'utilisateurs.

Ce message a été modifié par marc_os - 24 Apr 2019, 10:44.


--------------------
-----------------
--JE-------SUIS--
--AHMED-CHARLIE--
--CLARISSA-YOAV--
-----------------
Go to the top of the page
 
+Quote Post
Tom25
posté 24 Apr 2019, 10:45
Message #37


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 306
Inscrit : 27 Jul 2008
Lieu : Besançon
Membre no 118 630



[HS pour marc_os]
Citation (marc_os @ 24 Apr 2019, 11:36) *
Citation (human @ 23 Apr 2019, 12:52) *
Je suis sur que ça à été la même pour les concessions des autoroutes ... etc ...

Rien à voir.
Sauf le copinage entre "gens de la haute".
L'Etat investit, une fois que c'est amorti, au lieu de récolter les gains qui feraient de belles rentrées our l'Etat, on vend pour pas trop cher aux copains qui vont maximiser leurs bénéfices au détriment des usagers et bien sûr de l'Etat qui globalement var perdre de l'argent.
Idem pour les aéroports de Paris.

Citation (iAPX @ 23 Apr 2019, 18:04) *
La première mission d'un gouvernement est de protéger ses citoyens et c'est d'ailleurs sa seule raison d'exister.

Donc, l'école publique et la majorité des services publiques ne devraient pas exister selon toi ?
Génial. Vive les USA où jusqu'à l'Obama care ma cousine a vécu 20 ans sans sécurité sociale et qui à 60 ans passés est obligée de travailler 6 jours sur 7, et dont le fils n'a eu comme seule solution pour faire des études que de s'engager à l'armée car les frais sont simplement faramineux pour la majorité de la population.
C'est une vision des choses que je ne partage absolument pas, où seuls les "riches" ont le droit de vivre correctement.

J'ai la même impression (j'écris "impression" car je n'ai personnellement pas de preuve, mais ça ne fait aucun doute pour moi).
Comme te l'avait fait remarquer Lionel, j'ai du mal à comprendre que tu aies des positions comme ça (et avec lesquelles je suis d'accord) et que tu défendes Apple. Si cette dernière ne copine pas avec les instances dirigeantes, elle applique une politique du fort, des "gens de la haute". Elle fait tout pour empêcher la débrouillardise des personnes moins fortunés, déjà pour le matériel (prix de base élevé et réparation impossible) et ça tend vers la même chose pour le logiciel.
[/HS]

Edit : fautes de frappe

Ce message a été modifié par Tom25 - 24 Apr 2019, 11:40.


--------------------
Go to the top of the page
 
+Quote Post
marc_os
posté 24 Apr 2019, 10:45
Message #38


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 484
Inscrit : 21 Apr 2006
Membre no 59 799



Citation (Nathan @ 23 Apr 2019, 20:29) *
Si c'est réellement développé en France par des français (et pas sous traité à l’étranger) et utilisé sur du matériel désigné et fabriqué en France ...

En français, on dit "concevoir".
On dit: "du matériel conçu et fabriqué en France".


--------------------
-----------------
--JE-------SUIS--
--AHMED-CHARLIE--
--CLARISSA-YOAV--
-----------------
Go to the top of the page
 
+Quote Post
iAPX
posté 24 Apr 2019, 12:41
Message #39


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (marc_os @ 24 Apr 2019, 05:42) *
Citation (iAPX @ 23 Apr 2019, 18:04) *
La première mission d'un gouvernement est de protéger ses citoyens et c'est d'ailleurs sa seule raison d'exister.

Donc, l'école publique et la majorité des services publiques ne devraient pas exister selon toi ?
Génial. Vive les USA où jusqu'à l'Obama care ma cousine a vécu 20 ans sans sécurité sociale et qui à 60 ans passés est obligée de travailler 6 jours sur 7, et dont le fils n'a eu comme seule solution pour faire des études que de s'engager à l'armée car les frais sont simplement faramineux pour la majorité de la population.
C'est une vision des choses que je ne partage absolument pas, où seuls les "riches" ont le droit de vivre correctement.

Je suis désolé que tu n'ai pas compris le sens et la portée de "protéger ses citoyens", encore plus que de ton incompréhension tu m'associes à des idées que je n'ai pas pour terminer par un jugement hâtif et faussé.

Protéger ses citoyens englobe tout cela et bien plus, cela paraît évident, mais puisqu'il faut rappeler des évidences...


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
marc_os
posté 24 Apr 2019, 15:39
Message #40


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 484
Inscrit : 21 Apr 2006
Membre no 59 799



Citation (iAPX @ 24 Apr 2019, 12:41) *
Protéger ses citoyens englobe tout cela et bien plus, cela paraît évident, mais puisqu'il faut rappeler des évidences...

Désolé, mes les évidences ne sont pas les mêmes pour tout le monde d'une région à l'autre, d'un pays à l'autre, d'une classe sociale à l'autre... Mieux vaut mettre les points sur les i, je l'ai souvent constaté à mes dépends tout particulièrement ici.


--------------------
-----------------
--JE-------SUIS--
--AHMED-CHARLIE--
--CLARISSA-YOAV--
-----------------
Go to the top of the page
 
+Quote Post
Illiade
posté 24 Apr 2019, 18:01
Message #41


Apple Community manager
****

Groupe : Membres
Messages : 878
Inscrit : 21 Oct 2004
Membre no 25 601



Citation (Patounet1 @ 24 Apr 2019, 11:13) *
Autre question : Je croyais que le logiciel serait ouvert à tous les citoyens, fonctionnaires ou non. Mais encore un privilège pour les fonctionnaires !
Le rôle de l’État n’est pas de créer une messagerie sécurisée, avec utilisation de serveurs uniquement au pays, à l’usage de tous ses citoyens.
Le privé doit être en mesure de le proposer, quitte à ce que sa "gratuité" soit financée comme celle de WhatsApp.

En revanche, de la même manière que l’État a besoin de mettre à disposition de ses dirigeants, ou d'une partie de ses dirigeants, un service de transport (véhicules et/ou chauffeurs), le besoin de communiquer facilement, rapidement, sans transiter par Facebook a été mis en évidence.
L’extension à certains fonctionnaires pourvus d’une adresse ministérielle (fonction territoriale, hospitalière, Éducation nationale…) serait une manière de diluer le coût.
En revanche l’ouvrir à tout citoyen est impossible par son mode de validation : impossible de vérifier qu’une adresse courriel quelconque est bien utilisée par un individu et par seulement cet individu.
Go to the top of the page
 
+Quote Post
iAPX
posté 24 Apr 2019, 18:04
Message #42


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (Illiade @ 24 Apr 2019, 13:01) *
...
impossible de vérifier qu’une adresse courriel quelconque est bien utilisée par un individu et par seulement cet individu.

Même problème pour les fonctionnaires et autres membres de la fonction publique ou du gouvernement: un très très grave défaut du système!!!

C'est du bricolage et ça va refaire les unes d'ici moins d'un an avec des messages privés leakés.


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
Illiade
posté 24 Apr 2019, 18:23
Message #43


Apple Community manager
****

Groupe : Membres
Messages : 878
Inscrit : 21 Oct 2004
Membre no 25 601



Non, pas exactement.
[email protected] t’es attribuée par le responsable du service de l’Élysées. Tu as beau faire remarquer que tu es unique et que donc le 2 est inutile, tu n’auras aucune autre adresse.
Donc elle renvoie à toi et à toi seul. Comme tu me parais quelqu’un de responsable (c’est juste pour le besoin de la démonstration) tu feras en sorte que personne d’autre ne l’utilise, ce ne peut pas être une adresse commune comme certains couples utilisent. [email protected] sera iAPX#macbidouille et personne d’autre.
La faille, si j’ai bien compris, c’est que je peux créer une adresse [email protected] et qu’elle sera validée par le script python foireux, volontairement pendant la phase de test,
et qui acceptait tout si cela contenait @elysees.
La faille n’est résolue que temporairement, si j’ai bien compris ton explication, parce qu’il n’est pas trop difficile pour un spécialiste d’aller injecter du code sur le serveur d’inscription
qui vérifie que l’adresse courriel est valide avant d’autoriser l’impétrant à pénétrer dans le Tchap.
L’App en elle-même joue bien son rôle, mais c’est (relativement) facile d’y avoir accès sans y être autorisé.

Ce message a été modifié par Illiade - 24 Apr 2019, 18:25.
Go to the top of the page
 
+Quote Post
iAPX
posté 24 Apr 2019, 20:42
Message #44


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (Illiade @ 24 Apr 2019, 13:23) *
Non, pas exactement.
...

La possibilité de voir/lire un email ne doit pas servir à valider l'identité d'une personne ou sa présence dans un groupe (dans ce cas), surtout à ce niveau. C'est tout.
C'est un détournement d'usage, et en sécurité quand on essaye de faire des raccourcis ça finit toujours pas se payer.

Pour le reste leur système est indéfendable sur le long-terme, à cause de leur mauvais choix des "bonnes pratiques".
Il n'ont évidemment pas de Hacker dans leurs équipes, sinon tout cela ne serait pas arrivé.

On verra bien wink.gif


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
Zetiag
posté 30 Apr 2019, 09:12
Message #45


Adepte de Macbidouille
*

Groupe : Membres
Messages : 131
Inscrit : 21 Oct 2003
Membre no 10 636



Citation (Lionel @ 23 Apr 2019, 08:08) *
Appelé Tchap, ce service est en beta. Il vient d'être laminé par un chercheur en sécurité qui a réussi à se connecter et à suivre les échanges internes sans grandes difficultés.

Les autorités annoncent maintenant qu'elles vont travailler avec lui pour sécuriser leur messagerie.

Lien vers le billet original



Ben merde alors, on y avait pourtant mis nos meilleur experts en Minitel.


--------------------
OS X.5.6; Gibabyte EP45-DS3R ; Core2Duo E8200; 4 Go PC2-6400 ValueRAM Kingston; 2TGo; Geforce 8800 GTS

Aime voter "Non je ne veut pas de cette mrd d'iwatch" à chaque nouvelle connection. Rhââ Lovely !!!
Go to the top of the page
 
+Quote Post
Daniel31
posté 30 Apr 2019, 10:04
Message #46


Adepte de Macbidouille
*

Groupe : Membres
Messages : 60
Inscrit : 3 Feb 2005
Membre no 32 242



Citation (Zetiag @ 30 Apr 2019, 09:12) *
Ben merde alors, on y avait pourtant mis nos meilleur experts en Minitel.


On a tout lieu d'être fier du Minitel, qui a permis de connecter la quasi-totalité des foyers - à une époque où, dans les autres pays industrialisés, (en dehors de quelques universités) seuls une poignée de geeks (le mot n'existait pas encore) se connectaient avec des PC et modems.

C'est un succès énorme en terme d'ingéniérie :
- sur les coûts de production, extrêmement réduits tout en conservant quelque chose de robuste et fiable
- sur l'ergonomie. Certes très basique , mais conçue avec succès pour être utilisé par l'ensemble de la population, y compris les personnes agées - oui à l'époque mes grand-parents utilisaient le minitel sans trop de soucis, quand une génération après mes parents rejettent l'ordinateur et internet, ou, au mieux peinent et renâclent et appellent au secours leurs enfants.

Réussir à inclure l'ensemble de la population, y compris cette frange qui dit (non sans raison !) "m'emmerdez pas avec votre truc, j'ai toujours fait sans, je n'en ai pas besoin", est une réussite immense.

Après, les retombées à moyen et long terme de cette réussite, à part la fortune de Xavier Niel, c'est une autre histoire, moins glorieuse !





--------------------
Go to the top of the page
 
+Quote Post
Xuros
posté 30 Apr 2019, 18:28
Message #47


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 349
Inscrit : 7 Nov 2004
Lieu : Los Angeles, CA
Membre no 26 518



Citation (Daniel31 @ 30 Apr 2019, 01:04) *
Citation (Zetiag @ 30 Apr 2019, 09:12) *
Ben merde alors, on y avait pourtant mis nos meilleur experts en Minitel.


On a tout lieu d'être fier du Minitel, qui a permis de connecter la quasi-totalité des foyers - à une époque où, dans les autres pays industrialisés, (en dehors de quelques universités) seuls une poignée de geeks (le mot n'existait pas encore) se connectaient avec des PC et modems.

C'est un succès énorme en terme d'ingéniérie :
- sur les coûts de production, extrêmement réduits tout en conservant quelque chose de robuste et fiable
- sur l'ergonomie. Certes très basique , mais conçue avec succès pour être utilisé par l'ensemble de la population, y compris les personnes agées - oui à l'époque mes grand-parents utilisaient le minitel sans trop de soucis, quand une génération après mes parents rejettent l'ordinateur et internet, ou, au mieux peinent et renâclent et appellent au secours leurs enfants.

Réussir à inclure l'ensemble de la population, y compris cette frange qui dit (non sans raison !) "m'emmerdez pas avec votre truc, j'ai toujours fait sans, je n'en ai pas besoin", est une réussite immense.

Après, les retombées à moyen et long terme de cette réussite, à part la fortune de Xavier Niel, c'est une autre histoire, moins glorieuse !

Mouais... A ranger avec le SECAM, le Bi-Bop et les phares jaunes...


--------------------
MacBook Pro M1 / iPhone
Go to the top of the page
 
+Quote Post
flan
posté 30 Apr 2019, 20:58
Message #48


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 608
Inscrit : 1 Jul 2006
Membre no 63 808



Citation (ericbaud @ 23 Apr 2019, 17:13) *
c'est également une manière détournée de fournir une application de messagerie Française 'Maison' Permettant de surveiller ses concitoyens plus facilement... Aucune confiance en ce gouvernement et les précédents, donc je suis pas prêt de l'utiliser..

C'est l'adaptation à des besoins internes d'un logiciel grand-public, qui n'est pas destiné à tout le monde.

Citation
L'open source empêchera aux autorités d'introduire des portes dérobées, le risque qu'on les découvre est trop important, et inéluctable. Mais il leur suffira d'en faire un logiciel fermé.

Mais quel intérêt ? c'est destiné aux communications internes professionnelles. Le but est d'éviter aux agents du gouvernement d'utiliser des messageries potentiellement contrôlées par des puissances étrangères pour parler de leur boulot. L'État a priori n'a rien à gagner à surveiller ces conversations quotidiennes.


Citation
Je suppose qu'on pourra en faire un fork (un logiciel créé à partir du code source d'un autre) qui sera ouvert à tous, et indépendant de nos dirigeants.

Bin autant prendre le logiciel de base.
C'est déjà un fork d'un service open-source, modifié à la marge pour le personnaliser un peu et l'adapter aux besoins de l'État (changement du logo, impossibilité pour l'utilisateur de changer le nom affiché — c'est une messagerie pro, après tout —, …)


Citation (iAPX @ 24 Apr 2019, 20:42) *
La possibilité de voir/lire un email ne doit pas servir à valider l'identité d'une personne ou sa présence dans un groupe (dans ce cas), surtout à ce niveau. C'est tout.
C'est un détournement d'usage, et en sécurité quand on essaye de faire des raccourcis ça finit toujours pas se payer.

Pour le reste leur système est indéfendable sur le long-terme, à cause de leur mauvais choix des "bonnes pratiques".

Et concrètement, quelle serait la bonne méthode à utiliser pour valider l'identité, pour une messagerie qui n'est de toute façon pas pensée pour être utilisée pour des conversations vraiment confidentielles ou secrètes ? Une bonne méthode qui est applicable *dès maintenant* pour *à peu près n'importe quel agent* du gouvernement, et le tout en minimisant les dépenses ?
Go to the top of the page
 
+Quote Post
SartMatt
posté 30 Apr 2019, 21:27
Message #49


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (flan @ 30 Apr 2019, 21:58) *
Et concrètement, quelle serait la bonne méthode à utiliser pour valider l'identité, pour une messagerie qui n'est de toute façon pas pensée pour être utilisée pour des conversations vraiment confidentielles ou secrètes ? Une bonne méthode qui est applicable *dès maintenant* pour *à peu près n'importe quel agent* du gouvernement, et le tout en minimisant les dépenses ?
Dans une des boîtes où j'ai bossé, il y avait une solution relativement simple : le mot de passe pour la première connexion est généré lors de l'inscription puis la moitié de ce mot de passe est envoyée sur le mail de l'utilisateur, l'autre sur celui de son manager, auprès de qui l'utilisateur doit aller le récupérer (bien entendu, il est strictement interdit aux managers de faire suivre ce mail à l'utilisateur...).

Ça ajoute plusieurs niveaux de sécurité par rapport à la solution trouée de Tchap :
* l'utilisateur doit exister dans l'annuaire de la société (Tchap vérifie juste que l'adresse mail est sur un domaine autorisé... et fait mal cette vérification), puisque c'est cet annuaire qui est utilisé pour déterminer qui est le manager,
* un usurpateur devra avoir accès à la boîte mail de l'utilisateur,
* il devra aussi savoir qui est son manager,
* et il devra avoir accès à la boîte mail de ce manager.

Niveau coûts, ça nécessite d'avoir un serveur d'annuaire (et je doute que les administrations n'en aient pas déjà un...) et ça prend quelques minutes-homme de plus pour créer un compte (relativement négligeable).


--------------------

Go to the top of the page
 
+Quote Post
flan
posté 30 Apr 2019, 22:00
Message #50


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 608
Inscrit : 1 Jul 2006
Membre no 63 808



Citation (SartMatt @ 30 Apr 2019, 21:27) *
Citation (flan @ 30 Apr 2019, 21:58) *
Et concrètement, quelle serait la bonne méthode à utiliser pour valider l'identité, pour une messagerie qui n'est de toute façon pas pensée pour être utilisée pour des conversations vraiment confidentielles ou secrètes ? Une bonne méthode qui est applicable *dès maintenant* pour *à peu près n'importe quel agent* du gouvernement, et le tout en minimisant les dépenses ?
Dans une des boîtes où j'ai bossé, il y avait une solution relativement simple : le mot de passe pour la première connexion est généré lors de l'inscription puis la moitié de ce mot de passe est envoyée sur le mail de l'utilisateur, l'autre sur celui de son manager, auprès de qui l'utilisateur doit aller le récupérer (bien entendu, il est strictement interdit aux managers de faire suivre ce mail à l'utilisateur...).

Ça ajoute plusieurs niveaux de sécurité par rapport à la solution trouée de Tchap :
* l'utilisateur doit exister dans l'annuaire de la société (Tchap vérifie juste que l'adresse mail est sur un domaine autorisé... et fait mal cette vérification), puisque c'est cet annuaire qui est utilisé pour déterminer qui est le manager,
* un usurpateur devra avoir accès à la boîte mail de l'utilisateur,
* il devra aussi savoir qui est son manager,
* et il devra avoir accès à la boîte mail de ce manager.

Niveau coûts, ça nécessite d'avoir un serveur d'annuaire (et je doute que les administrations n'en aient pas déjà un...) et ça prend quelques minutes-homme de plus pour créer un compte (relativement négligeable).

Avec Tchap, le nom est déjà récupéré via l'annuaire si je ne me trompe pas (et il ne peut pas être changé, d'ailleurs). La DINSIC n'a de toute façon aucune prise sur les entités pouvant utiliser Tchap.
Par contre, c'est impossible de connaître la pyramide hiérarchique de toutes les entités qui ont accès à Tchap à partir de ces annuaires, donc d'envoyer le mail au supérieur hiérarchique immédiat.

Tchap a été complètement survendue par la DINSIC dans les médias, le but est simplement d'offrir une alternative à WhatsApp/Telegram aux agents, assez rapidement et sans débourser un centime (ou le moins possible : pas de projet à X M€ par Thalès, Sopra et consorts). Le but n'est pas d'avoir une messagerie ultra-sécurisée (il y a des moyens de communication dédiés pour ça).

Ce message a été modifié par flan - 30 Apr 2019, 22:10.
Go to the top of the page
 
+Quote Post
SartMatt
posté 30 Apr 2019, 22:27
Message #51


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (flan @ 30 Apr 2019, 23:00) *
Avec Tchap, le nom est déjà récupéré via l'annuaire si je ne me trompe pas (et il ne peut pas être changé, d'ailleurs).
Oui, effectivement, le chercheur qui a trouvé la faille a forgé une adresse dont une partie correspondait à une adresse existante.

Citation (flan @ 30 Apr 2019, 23:00) *
Par contre, c'est impossible de connaître la pyramide hiérarchique de toutes les entités qui ont accès à Tchap à partir de ces annuaires, donc d'envoyer le mail au supérieur hiérarchique immédiat.
C'est peut-être impossible aujourd'hui, mais techniquement ça serait très simple à implémenter, pour un coût relativement faible. Et honnêtement, je serai assez surpris que ça ne soit pas déjà fait... Dans toutes les boîtes où je suis passé, l'annuaire LDAP intégrait les liens hiérarchique.

Citation (flan @ 30 Apr 2019, 23:00) *
Tchap a été complètement survendue par la DINSIC dans les médias, le but est simplement d'offrir une alternative à WhatsApp/Telegram aux agents, assez rapidement et sans débourser un centime (ou le moins possible : pas de projet à X M€ par Thalès, Sopra et consorts). Le but n'est pas d'avoir une messagerie ultra-sécurisée (il y a des moyens de communication dédiés pour ça).
Yep, c'est que ce que je disais plus haut, tout ce qui est de haut niveau de confidentialité passe par d'autres solutions, basées sur des terminaux spécifiques (pour avoir la maitrise complète, ce qui n'est pas le cas avec une simple appli Android), comme le Teorem (et là, oui, projet à X M€ pour Thales ^^).


--------------------

Go to the top of the page
 
+Quote Post
flan
posté 30 Apr 2019, 22:52
Message #52


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 608
Inscrit : 1 Jul 2006
Membre no 63 808



Citation (SartMatt @ 30 Apr 2019, 22:27) *
Citation (flan @ 30 Apr 2019, 23:00) *
Par contre, c'est impossible de connaître la pyramide hiérarchique de toutes les entités qui ont accès à Tchap à partir de ces annuaires, donc d'envoyer le mail au supérieur hiérarchique immédiat.
C'est peut-être impossible aujourd'hui, mais techniquement ça serait très simple à implémenter, pour un coût relativement faible. Et honnêtement, je serai assez surpris que ça ne soit pas déjà fait... Dans toutes les boîtes où je suis passé, l'annuaire LDAP intégrait les liens hiérarchique.


Non, ce n'est pas le cas. Il y a beaucoup d'entités, de tailles très différentes, avec des annuaires structurés différemment, potentiellement avec des technos différentes (même si en pratique c'est sûrement de l'ActiveDirectory). Elles ont sûrement presque toutes la hiérarchie intégrée au LDAP, mais :
- chacune dans leur coin avec leurs propres conventions,
- ce n'est pas le cas de toutes (dans le tas, il y a de petites entités),
- les LDAP ne sont même pas toujours administrés par l'entité elle-même (mais par d'autres entités gouvernementales qui vont fournir tout le support administratif).

Techniquement, c'est sûrement simple… seulement le problème n'est aucunement technique mais organisationnel, avec des centaines d'entités qui n'ont pas de hiérarchie commune et qui n'ont absolument rien demandé à la DINSIC, qui ont autre chose à faire que de s'organiser ensemble pour avoir un format commun, tout ça pour un projet complètement secondaire de la DINSIC (ce qui n'enlève rien de son intérêt, je trouve que c'est une très bonne idée ; simplement ça a pris une importance disproportionnée dans les média).
La DINSIC ne peut pas résoudre ce problème, et si chaque entité avait dû mettre à disposition une moulinette pour fournir les infos, Tchap ne serait pas prêt d'être en production.


Citation
Citation (flan @ 30 Apr 2019, 23:00) *
Tchap a été complètement survendue par la DINSIC dans les médias, le but est simplement d'offrir une alternative à WhatsApp/Telegram aux agents, assez rapidement et sans débourser un centime (ou le moins possible : pas de projet à X M€ par Thalès, Sopra et consorts). Le but n'est pas d'avoir une messagerie ultra-sécurisée (il y a des moyens de communication dédiés pour ça).
Yep, c'est que ce que je disais plus haut, tout ce qui est de haut niveau de confidentialité passe par d'autres solutions, basées sur des terminaux spécifiques (pour avoir la maitrise complète, ce qui n'est pas le cas avec une simple appli Android), comme le Teorem (et là, oui, projet à X M€ pour Thales ^^).

Tu peux « sans problème » faire des communications sécurisées* sans avoir de terminaux spécifiques (au sens fabriqués sur mesure), en utilisant par exemple des terminaux disponibles commercialement (pas n'importe lesquels, ils doivent passer une évaluation), que ce soit de la téléphonie fixe ou de la messagerie informatique. Bien évidemment, il y aura pas mal d'autres contraintes.

*niveau confidentiel ou secret défense. Au-dessus, ça doit être beaucoup plus compliqué.

Ce message a été modifié par flan - 30 Apr 2019, 23:06.
Go to the top of the page
 
+Quote Post

2 Pages V  < 1 2
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 28th March 2024 - 23:27